گزارش امنیتی: ظهور TP-Link zero-day و هشدار CISA نسبت به سوءاستفاده مداوم مهاجمان

TP-Link وجود یک آسیب‌پذیری Zero-Day وصله‌نشده را که چندین مدل روتر این شرکت را تحت تأثیر قرار می‌دهد، تأیید کرده است. این موضوع در حالی اعلام شد که CISA هشدار داده برخی دیگر از آسیب‌پذیری‌های روترهای TP-Link پیش‌تر در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند.

این آسیب‌پذیری توسط محقق مستقل امنیتی Mehrun (ByteRay) شناسایی و در تاریخ ۱۱ مه ۲۰۲۴ به TP-Link گزارش شده است. شرکت چینی TP-Link در گفت‌وگو با BleepingComputer تأیید کرده که در حال بررسی میزان قابلیت بهره‌برداری و دامنه تأثیر این نقص امنیتی است.

طبق گزارش‌ها، یک Patch برای مدل‌های اروپایی توسعه یافته، اما هنوز برای نسخه‌های Firmware ایالات متحده و سایر مناطق جهانی وصله‌ای منتشر نشده و زمان مشخصی نیز برای انتشار ارائه نشده است.

TP-Link در بیانیه‌ای رسمی اعلام کرده است:
«TP-Link از آسیب‌پذیری گزارش‌شده در برخی مدل‌های روتر، مطابق با یافته‌های ByteRay، آگاه است. ما این گزارش‌ها را جدی تلقی کرده و Patch لازم برای مدل‌های اروپایی را توسعه داده‌ایم. همچنین کار روی انتشار به‌روزرسانی برای نسخه‌های ایالات متحده و سایر مناطق در حال انجام است.»

در ادامه این بیانیه آمده است:
«تیم فنی TP-Link در حال بررسی دقیق شرایط افشای این نقص و الزامات مربوط به استقرار آن است؛ از جمله بررسی اینکه آیا CWMP (CPE WAN Management Protocol) به‌صورت پیش‌فرض فعال است یا خیر. همچنین از تمامی کاربران خواسته می‌شود که Firmware دستگاه‌های خود را تنها از طریق کانال‌های پشتیبانی رسمی TP-Link به‌روز نگه دارند.»

این آسیب‌پذیری که هنوز CVE-ID دریافت نکرده، یک Stack-Based Buffer Overflow در پیاده‌سازی CWMP در تعداد نامشخصی از روترهای TP-Link است. طبق توضیحات محقق، نقص در تابعی که پیام‌های SOAP SetParameterValues را پردازش می‌کند وجود دارد. علت اصلی مشکل، عدم انجام Bounds Checking در فراخوانی‌های تابع strncpy است که امکان اجرای کد از راه دور (RCE) را در صورت عبور حجم Buffer از ۳۰۷۲ بایت فراهم می‌کند.

به گفته Mehrun، یک سناریوی حمله عملی شامل هدایت دستگاه‌های آسیب‌پذیر به یک سرور CWMP مخرب و ارسال Payload بزرگ SOAP برای ایجاد Buffer Overflow خواهد بود. این حمله می‌تواند با سوءاستفاده از Firmwareهای قدیمی یا استفاده از Credentials پیش‌فرض تغییرنیافته انجام گیرد.

در صورت بهره‌برداری موفق و دستیابی به RCE، مهاجم می‌تواند روتر را به اجرای اقدامات مخربی مانند تغییر مسیر درخواست‌های DNS به سرورهای آلوده، شنود یا دستکاری ترافیک رمزنگاری‌نشده، و تزریق Payloadهای مخرب در نشست‌های وب وادار کند.

بر اساس تست‌های انجام‌شده، مدل‌های TP-Link Archer AX10 و Archer AX1500 در برابر این آسیب‌پذیری آسیب‌پذیر هستند. این دو مدل از جمله پرفروش‌ترین روترهای TP-Link در بازارهای جهانی محسوب می‌شوند. همچنین احتمال آسیب‌پذیری مدل‌های EX141، Archer VR400 و TD-W9970 و برخی دیگر از محصولات این شرکت نیز مطرح شده است.

تا زمان انتشار وصله‌های رسمی، به کاربران توصیه می‌شود رمزهای عبور پیش‌فرض ادمین را تغییر دهند، در صورت عدم نیاز CWMP را غیرفعال کنند، آخرین نسخه Firmware موجود را نصب نمایند و در صورت امکان روتر را از شبکه‌های حیاتی سازمان جدا کنند.

هشدار CISA در مورد سوءاستفاده از آسیب‌پذیری‌های TP-Link

دیروز CISA دو آسیب‌پذیری دیگر TP-Link با شناسه‌های CVE-2023-50224 و CVE-2025-9377 را به فهرست Known Exploited Vulnerabilities اضافه کرد. هر دو نقص امنیتی توسط Botnet موسوم به Quad7 در حملات فعال مورد سوءاستفاده قرار گرفته‌اند.

• CVE-2023-50224: آسیب‌پذیری Authentication Bypass
• CVE-2025-9377: آسیب‌پذیری Command Injection

زنجیره‌سازی این دو نقص به مهاجمان امکان دستیابی به Remote Code Execution بر روی دستگاه‌های TP-Link را می‌دهد.

از سال ۲۰۲۳، Botnet یادشده با سوءاستفاده از این آسیب‌پذیری‌ها، Malwareهای اختصاصی بر روی روترها نصب کرده و آن‌ها را به Proxy و Relay ترافیک تبدیل کرده است. مهاجمان چینی از این زیرساخت برای عبور حملات مخرب از میان ترافیک عادی و پنهان‌سازی فعالیت‌های خود بهره می‌برند.

در سال ۲۰۲۴ نیز Microsoft مشاهده کرده است که مهاجمان از طریق این Botnet حملات Password Spray را علیه سرویس‌های Cloud و Microsoft 365 اجرا کرده و در تلاش برای سرقت اعتبارنامه‌ها بوده‌اند.